SSL Strip 공격과 HSTS Bypassing

  MITM (Man-In-The-Middle) 공격은 공격자와 Victim이 동일한 네트워크에 연결되어 있어야 한다. 따라서 외부에서 공격하는 Remote Exploit Attack에 비해 “덜 흥미로운-less interesting”것으로 간주되곤 한다. 그러나 동일 네트워크라는 제약조건에도 불구하고 MITM 공격이 여전히 이슈가 되는 이유는, Victim  네트워크에 접근했을 때, 다음 단계 해킹을 위한 강력한 무기로 활용할 수 있기 때문이다. 일반적으로 SSL과 같이 전송 구간 암호화가 적용되어 있으면 MITM이 불가능하다고 여기기 쉬우나, 다양한 기법을 통해 통신 내용을 중간에 가로채는 것이 (혹은 변조하는 것이) 가능하다. 이번 포스팅에서는 SSL 을 우회하여 MITM 공격하는 방법을 상세하게 다룰 예정이며, 목차는 다음과 같다. SSL-Strip 기법의 기본 이론과 동작 원리 SSL-Strip 방어기법 (HSTS)과 우회 방법 HSTS Bypass 공격을 통한 계정 탈취 실습   SSL Strip 기본 이론과 동작 원리 Client-Server간 암호화 통신을 위해 SSL이 적용된 경우에는 공격자가 중간에서 통신을 가로채더라도 그 내용을 해독할 수 없기 때문에 MITM 공격이 불가능하다. 그러나 최초 서버와의 세션 연결시 HTTPS를 강제로 HTTP 통신을 하게끔 만들수만 있다면, 일반적인 MITM 공격으로 트래픽 내용을 훔쳐볼 수 있다. 이것을 SSL Strip 기법이며, 말 그대로 “SSL을 벗겨내서(Strip)” 강제로 HTTP통신을 하게끔 유도하는 기법이다. SSL Strip 공격은 2009년 BlackHat DC 컨퍼런스에서 Moxie Marlinspike에 의해 처음 소개되었다. (소개 자료는 http://www.thoughtcrime.org/software/sslstrip/) 아래 그림을 통해 SSL Strip 공격 흐름을 이해해보자. Victim(A) 이 가상의 은행 사이트 www.foobarbank.com 에 접속을 요청한다. 은행 서버(C)는 Victim에게 HTTPS를

Continue Reading

웹 퍼징 (Web Fuzzing) 도구 소개 및 활용 방법

  실무에서의 침투 테스트는 대부분은 제한적인 정보하에 진행되는 경우가 많다. 물론 프로젝트의 성격에 따라 침투 팀에게 주어지는 정보의 양과 범위는 제각각이긴 하지만, 시스템의 안정성을 적극적으로 점검하고 싶어하는 고객의 경우 IP 리스트만 제공하는 경우도 많다. 내부 시스템의 경우는 비교적 침투하기에 수월한(?) 편이긴 하나, 외부에 공개되어 있는 시스템들은 고객측에서 일정 수준 이상의 보안 조치를 마친 상태에서 침투팀을 기다리기 때문에, 그리 만만하지 않은 것이 사실이다. [ IP 리스트조차 주어지지 않는다면, 직접 공격 대상을 찾아야 한다 ] 그러나 작은 취약점 하나가 결국 전체 시스템을  무너트릴 수 있다는 것을 경험하고 나면, 그러한 두려움을 조금씩 이겨나갈 수 있을 것이다.   웹 퍼징 도구에 대하여   오늘 소개할 내용은 웹 퍼징(Web Fuzzing) 도구를  활용하는  방법이다. 웹 퍼징 도구는 웹사이트에서 직접적으로 알아낼 수 없는 즉, 추측을 통해서만 알아낼 수 있는 페이지들을 자동으로 찾아주는 역할을 한다. 사실 Metasploit 과 같은 도구와 비교했을 때 사용방법이 매우 쉽지만, 실제 이 도구들로 인해 얻을 수 있는 효과는 생각외로 크다. 위에서 언급했듯이, “단 하나의 작은 구멍”을 찾는데 있어 큰 도움을 주기 때문이다. 그럼 본격적으로 웹 퍼징 도구 몇가지를 비교해보고 활용 방법에 대해 살펴보도록 하자.   1. DirBuster – by OWASP OWASP 에서 제작한 가장 대중적인(?) 웹 퍼징 도구 중 하나이다. Java 언어 기반으로 제작되었기 때문에 OS 플랫폼에 구애받지 않고 사용할 수 있다. 관련 URL

Continue Reading

Site Footer

Sliding Sidebar

About Me

About Me

June Park